病毒名称:
Worm.Blaster.f.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫使用UPX+ASPack压缩,是“冲击波”新变种,病毒一旦运行,将进行下列动作:
1. 如果当前日期是16号-31号或当前月份大于8,病毒就会对“tuiasi.ro”进行拒绝服务攻击,这是一个在tuiasi.ro的端口80上的SYN洪水攻击,每秒将发送50个HTTP包,每个包长度为
40个字节。
病毒本内有一段文本信息:
"What You Should Know About the Blaster Worm and Its Variants."
2. 向TCP端口发送DCOM RPC的漏洞攻击包,试图感染远程机器,一旦成功,病毒将在远程机器上建立一个隐藏的shell进程,监听TCP端口4444,等待远程攻击者的命令
3.病毒在攻击操作系统为win2k和winXP的远程机器,攻击时间分配如下:
1/5时间攻击win2k
4/5时间攻击winXp
4.病毒监听本地UDP端口69,用来与远程被感染的机器通讯
附加说明:
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候,__RemotoGetClassObject 未对此结构指针参数有有效性检查,导致缓冲区溢出。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个
重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃
以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,此病毒就是利用这个原理来进行传播
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
"www.hidro.4t.com "="enbiei.exe"
可能导致系统崩溃导致tuiasi.ro的交通堵塞
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-9-3